Microsoft Lync Server
Header

Como denegar el acceso a la red a equipos conectados vía DirectAccess

marzo 18th, 2014 | Posted by Santiago Buitrago in Directivas de Grupo

Una de las preguntas que los administradores se suelen hacer cuando ​implementan DirectAccess es como pueden evitar que se puedan conectar a la red, bien porque nos han robado la máquina o simplemente porque la hemos perido. Pues bien la respuesta es bien sencilla, tenemos varias formas de hacerlo:

  1. Deshabilitar la cuenta de equipo en el dominio: Efecto inmediato
  2. Elimina la cuenta de equipo: Efecto inmediato

Direct_Access_Deny_Red_11.png

3. Revocar el certificado de equipo: Tiempo de actualización de la CRL y distribución en los puntos de CRL

Este método es igual de efectivo, pero debemos tener en cuenta que en función del tamaño de nuestra organización podrá actuarlizarse la CRL en más o menos tiempo, lo cual permitirá a los equipos configurados con DirectAccess seguir conectándose mientras no se haya actualizado los puntos de distribución de la CRL. Teniendo en cuenta esto, vamos a ver cuales serían los pasos a seguir para revocar un certificado. Lo primero que debemos hacer es abrir la consola de administración de certificado, ir a la sección de Certificados Emitidos y en el listado de certificados buscar el que queremos revocar, pulsamos con el botón secundario del ratón encima de mismo y pulsamos en Todas las TareasRevocar certificado

Direct_Access_Deny_Red_3.png
Elegimos un Código de motivo por el cual queremos revocar el certificado (esto es a nivel informativo) y la fecha hora que se reovará (claramente lo haremos con fecha y hora del momento actual)

Direct_Access_Deny_Red_4.png

Ahora nos vamos a la opción de Certificados Revocados y verificamos que el certificado ha sido revocado
Direct_Access_Deny_Red_6.png
Y para acelerar el proceso de publicación de la CRL, sobre la opción de Certificados Revocados pulsamos con el botón secundario del ratón y pulsamos en Todas la tareas y Publicar, con esto forzaremos la actualización de la CRL

Direct_Access_Deny_Red_7.png
Ahora bien, si hemos configurado la distribución de la CRL en una ubicación diferente a la por defecto y como estamos utilizando una CA interna (en mi caso para los certificados del equipo del dominio uso una CA de Windows 2012) debemos copiar los ficheros actualizados de la CRL y copiarlos en la ubicación que corresponda. La idea es que el servidor pueda verificar la CRL antes de establecer el tunel IPSec con el cliente, de tal forma que si el certificado presentado por el cliente está presente en la CRL se denegará el acceso. Si bien es cierto, que para que esto funcione debemos tener configurado "Habilitar la comprobación fuerte de CRL para la autenticación de IPsec" (http://technet.microsoft.com/es-es/library/ee649260(v=ws.10).aspx). Por defecto se configura una comprobación débil, por lo que solo se deniegará el acceso si se comprueba que en la CRL aparece el certificado del equipo.

 

Por lo que hecho esto y actualizado los puntos de distribución de las CRL, el equipo seguirá conectado  pero en cuanto se intente volver a conectar ya no podrá hacerlo:

Direct_Access_Deny_Red_9.png

Si tenemos la posibilidad de acceder el equipo veremos que se quedará constantemente en "Conectando"

Direct_Access_Deny_Red_10.png

Desde luego la forma más rápida y efectiva está clara, borramos o desactivamos la máquina en el dominio. Pero también tenemos la posibilidad de revocar el certificado y que vía CRL se pueda verificar que el certificado se ha revocado y por lo tanto no es válido para tener acceso a la negociación vía IPSec de DirectAccess y no permitirá el acceso a al red.

Espero que os sea de utilidad!!!

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *